행 레벨 보안
소개
행 레벨 보안을 사용하여 LASR 테이블 내의 특정 행에 액세스할 수 있는 사용자를 제어할 수 있으며, 이러한 보안은 데이터 필터 표현식으로 정의됩니다.
행 레벨 액세스 구분은 간단한 속성(예: 보안 허가 레벨)을 기반으로 하거나 여러 기준으로 구성된 복잡한 표현식을 기반으로 할 수 있습니다.
행 레벨 보안은 리소스 내에서 데이터 서브셋에 대한 액세스에 영향을 미칩니다. 행 레벨 보안을 설정하려면 읽기 권한의 명시적 허가에 대한 권한 조건이라고
하는 제약 조건을 추가합니다. 각 권한 조건은 특정 사용자 또는 그룹에 대해 특정 LASR 테이블을 필터링합니다. 각 권한 조건은 읽기 권한의 명시적
허가를 제한하므로 연결된 사용자 또는 그룹은 지정된 조건을 충족하는 행만 볼 수 있습니다.
행 레벨 보안을 사용할 때 사용자의 데이터 보기 요청에 대해 다음과 같은 세 가지 인증 결정 결과가 내려질 수 있습니다.
허가
조건부 허가
거부
허가
요청한 사용자는 모든 행을 볼 수 있습니다.
조건부 허가
요청한 사용자는 지정된 필터링 조건을 충족하는 행만 볼 수 있습니다.
거부
요청한 사용자는 어떤 행도 볼 수 없습니다.
팁
Explorer 등의 SAS Visual Analytics 응용 프로그램에서 조건을 테스트할 때는 해당 응용 프로그램에서 데이터 소스를 새로 고쳐야
저장한 권한 조건 변경 사항이 적용됩니다. 자세한 내용은 캐싱을 참조하십시오.권한 우선 순위
다음은 권한 조건이 메타데이터 계층 액세스 컨트롤 평가 프로세스에 통합되는 방식에 대한 몇 가지 핵심 사항입니다.
-
권한 조건은 요청한 사용자와 가장 가까운 설정에 대해서만 적용됩니다. 추가로 제거된 그룹 멤버십 때문에 관련된 다른 권한 조건은 추가 누적 액세스 권한을 제공하지 않습니다.
-
가장 높은 ID 우선 순위 레벨에서 여러 그룹 간에 연결된 ID 우선 순위가 있을 때, 이러한 연결된 조건은 부울 OR 표현식으로 결합됩니다. ID 우선 순위 연결에 무조건부 허가가 포함되면 어떠한 조건으로도 액세스가 제한되지 않습니다.
다음 테이블에서는 예를 보여 줍니다.
|
원칙
|
시나리오
|
결과 및 설명
|
|---|---|---|
|
사용자의 그룹 멤버십 때문에 사용자에게 적용되는 권한 조건이 여러 개 있으면 가장 우선 순위가 높은 ID가 결과를 제어합니다.
|
TableA의 한 조건은 GroupA에 대한 읽기 권한을 제한합니다.
TableA의 다른 조건은 SASUSERS 그룹에 대한 읽기 권한을 제한합니다.
사용자는 GroupA 및 SASUSERS 모두의 멤버입니다.
|
사용자는 GroupA가 보도록 허가된 행만 볼 수 있습니다. GroupA의 ID 우선 순위 레벨이 SASUSERS보다 더 높으므로 GroupA에 할당된
필터가 사용자의 액세스를 정의합니다.
|
|
가장 높은 ID 우선 순위 레벨에 여러 권한 조건이 있으면 연결된 모든 조건에서 허용된 모든 데이터가 반환됩니다.
|
TableA의 한 조건은 GroupA에 대한 읽기 권한을 제한합니다.
TableA의 다른 조건은 GroupB에 대한 읽기 권한을 제한합니다.
사용자는 GroupA 및 GroupB 모두의 첫 번째 레벨 멤버입니다.
|
사용자가 GroupA나 GroupB에 대해 허용된 행을 모두 볼 수 있습니다.
|
구문(확장 편집기)
팁
확장 편집기에 액세스하려면 행 레벨 권한 조건 설정을 참조하십시오.-
시각화 탭의 왼쪽 영역에서 연산자와 데이터 항목을 끌어다 놓을 수 있습니다.주: 값을 입력할 때, 따옴표로 묶지 마십시오. 필요한 따옴표가 있으면 편집기가 자동으로 추가합니다.
-
텍스트 탭에서는 텍스트를 직접 입력할 수 있습니다. 이때는 시각화 탭에서 사용할 수 있는 연산자만 사용할 수 있습니다.주: 텍스트 탭에는 기본 편집기 및 배치 도구와 동일한 구문이 사용되지 않습니다. 힌트를 보려면 텍스트 탭을 선택한 다음 창 도구 모음에서
을 클릭하십시오.
구문(기본 편집기, 배치)
소개
이 항목은 다음 컨텍스트에서 생성된 권한 조건에 적용됩니다.
-
SAS Visual Analytics Administrator 6.1 이전 버전
-
메타데이터 인증에 대한 배치 도구 자세한 내용은 SAS Intelligence Platform: Security Administration Guide의 Batch Tools for Metadata Authorization을 참조하십시오.
일반 지침
-
숫자가 아닌 문자 값은 따옴표로 묶으십시오.
-
||기호가 지원되지 않습니다. 대신 OR 키워드를 사용합니다. -
월 또는 날짜가 있는 표현식은 지원되지 않습니다.
-
표현식에 WHERE 키워드를 포함하지 마십시오.
지원되는 구문
|
구문 요소
|
예
|
|---|---|
AND, OR, NOT |
Toy_Type='cars' OR Toy_Type='dolls' |
IN, NOTIN |
Toy_Type IN ('dolls' 'cars' 'animals') |
CONTAINS, ? |
Toy_Type CONTAINS 'cars' |
BETWEEN, NOT
BETWEEN |
Toy_Price BETWEEN 20 AND 30 |
LIKE |
Toy_Type LIKE 'dolls' |
= , > , < , >= , <= , <> |
Toy_Price=25 |
^= , NE |
Toy_Price^=30 |
ID 기반 속성
다음 테이블에서는 ID 기반 권한 조건을 생성하는 데 사용할 수 있는 속성을 소개합니다. 이러한 속성을 권한 조건에 사용할 때, 요청한 사용자 각각의
메타데이터 ID를 기반으로 런타임에 동적으로 조건이 값으로 대체됩니다.
|
구문 요소
|
설명
|
|---|---|
SUB::SAS.Userid |
요청한 사용자의 인증된 ID를 대문자 출력형식 USERID 또는 USERID@DOMAIN으로 변환합니다.
배치 도구에서의 사용 예:
-condition "empID='SUB::SAS.Userid'" |
SUB::SAS.IdentityGroups |
요청한 사용자의 그룹 및 역할 멤버십(직접, 간접 및 암시적)을 반환합니다. 반환된 리스트에는 그룹 및 역할 이름(표시 이름이 아님)이 포함됩니다.
배치 도구에서의 사용 예:
-condition "FacilityRegion IN ('SUB::SAS.IdentityGroups')" |
SUB::SAS.PersonName |
사용자 메타데이터 정의의 일반 탭에 있는 이름 필드에 지정된 대로 요청한 사용자의 이름을 반환합니다.
|
SUB::SAS.ExternalIdentity |
요청한 사용자에 대한 사이트별 식별자를 반환합니다. 외부 ID 값은 플랫폼의 사용자 가져오기 매크로를 통해 채워집니다(사용자 정보를 메타데이터로 벌크
로드할 때).
|
예를 들어, LASR 테이블에 사용자를 인증하는 데 사용되는 사용자 ID와 일치하는 값을 가진 empID 칼럼이 있으면
empID='SUB::SAS.Userid' 조건을 사용할 수 있습니다. 영향을 받는 사용자 각각의 ID는 조건의 오른쪽으로 대체됩니다. sasdemo 사용자의 요청에서는 조건이 empID='sasdemo'로 확인되므로 empID 칼럼에 있는 값이 sasdemo인 행만 sasdemo 사용자에게 반환됩니다. 조건을 그룹에 할당하는 때, 각 멤버의 액세스는 empID 값이 해당 멤버의 인증된 사용자 ID와 일치하는
행으로 제한됩니다. 배치 도구에서 전체 명령을 사용한 예:sas-set-metadata-access -profile Admin "/Shared Data/LASRtableA(Table)" -grant sasusers:Read -condition "empID='SUB::SAS.Userid'"
주: 두 개의 추가 속성(SAS.IdentityName 및 SAS.IdentityGroupName)은 사용 빈도가 적으므로 여기에서 설명하지 않습니다.
자세한 내용은 SAS Intelligence Platform: Security Administration Guide의 About Identity-Driven Properties를 참조하십시오.